• Keine Ergebnisse gefunden

Security as a Service

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Security as a Service"

Copied!
14
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 14 Seite )

Volltext

(1)

Security as a Service

ICT-Security Outsourcings: Anforderungen und Lösungen aus rechtlicher Sicht

Dr. Jürg Schneider, Partner, Walder Wyss AG 22. November 2016

ISSS Berner Tagung 2016

(2)

22.11.2016

– Einführung in die Thematik – Einige Beispiele und Zahlen

– Rechtliche Anforderungen an Informationssicherheit – Verantwortung/Haftung für Informationssicherheit – Security Services

– Pflicht zum Outsourcen?

– Schranken des Outsourcings

– Wichtige Regelungspunkte im Outsourcingvertrag – Security Services über die Cloud

– Fünf «Take Aways»

Inhaltsübersicht

2

(3)

22.11.2016

– Information ist wichtig(st)es Betriebsmittel und Wirtschaftsgut

– Informationsverlust oder Informationsdiebstahl kann Existenz eines Unternehmens bedrohen

– Keine einzelne allumfassende rechtliche Regelung im Bereich Informationssicherheit und Outsourcing

– Haftungs- und Reputationsrisiken werden oft unterschätzt

Einführung in die Thematik

3

(4)

22.11.2016

– 500 Millionen Yahoo-Konten gehackt, 2014

– DDoS/Erpressung von ProtonMail, November 2015 – Cyber-Spionagefall bei der RUAG, Januar 2016

– Friend Finder Netzwerk gehackt, November 2016

– Gemäss Ponemon Institute (2016 Cost of Data Breach Study, June 2016):

– 4 Mio. USD Kosten pro «Data Breach» (+29% seit 2013)

– 158 USD Kosten pro verlorenen/gestohlenen Datensatz (+15%

seit 2013)

Einige Beispiele und Zahlen

4

(5)

22.11.2016

– Gesetzliche Regelungen:

– Datenschutzgesetzgebung (DSG, VDSG etc.)

– Kaufmännische Rechnungslegung (Art. 957 ff. OR, GebüV) – Internes Kontrollsystem (Art. 728a Abs. 1 Ziff. 3 OR)

– Geschäfts-, Amts- und Berufsgeheimnis (Art. 162 StGB, Art. 320 StGB und Art. 321 StGB)

– Finanzmarktgesetzgebung (Finma Rundschreiben 2008/7 [Outsourcing], 2008/21 [Operationelle Risiken Banken] etc.), etc.

– Vertragliche Anforderungen – Standards (ISO, etc.)

– Ausländische Anforderungen: z.B. EU Datenschutz-

grundverordnung, EU Richtlinie für Netz- und Informations- sicherheit, etc.

Rechtliche Anforderungen an Informationssicherheit

5

(6)

22.11.2016

– Zivilrecht / Strafrecht

– Vertragliche Haftung (Art. 97 OR) / ausservertragliche Haftung (Art. 41 OR)

– Haftung des Geschäftsherrn: Art. 55 OR – Haftung für Hilfspersonen: Art. 101 OR

– Organhaftung: Art. 754 OR, Art. 827 OR, Art. 916 OR

Pro memoria: Versicherung von Informationssicherheitsrisiken

Verantwortung/Haftung für Informationssicherheit

6

(7)

22.11.2016

Outsourcing von z.B.

Firewall / VPN / IDP

DDoS Protection / Malware Protection komplette Cybersecurity Infrastruktur Penetration Testing, Security Audits

Data Loss Prevention, Data Storage sowie Archiving Services Data Center Security (inkl. physischer Zugangsschutz)

Encryption Services

Information Security Officer Funktion

bis zur umfassenden Gewährleistung der ICT-Sicherheit (as a Service)

Security Services

7

(8)

22.11.2016

– Keine allgemeine und generelle Pflicht zum ICT-Security Outsourcing

– Verzicht kann jedoch im Schadenfall eine Haftung des Unternehmens auslösen:

Sorgfaltspflichtverletzung

Übernahmeverschulden (Fähigkeitsdefizit: Schuldner hätte eine Leistung oder Tätigkeit nicht übernehmen dürfen)

Organisationsverschulden (sachliche oder zeitliche Fehlallokation der Ressourcen Ressourcen)

– Verzicht kann zu einer persönlichen Haftung der Organe führen (Achtung:

Oberaufsicht kann nicht delegiert werden)

– Steigende Komplexität der Informationssicherheit sowie steigende rechtliche Anforderungen erhöhen das Haftungsrisiko

Achtung: Beizug eines Dienstleisters führt nicht dazu, dass die rechtlichen und vertraglichen Pflichten des Kunden in Bezug auf Informationssicherheit auf den Dienstleister übergehen; verpflichtet bleibt weiterhin der Kunde (er kann dann jedoch allenfalls seine Haftung limitieren/ausschliessen, sich exkulpieren

und/oder Regress auf den Dienstleister nehmen)

Pflicht zum Outsourcen?

8

(9)

22.11.2016

Schranken/Einschränkungen auf Grund von, z.B.

Datenschutz

vertragliche Geheimhaltungspflichten

Spezielle Branchengesetzgebung (z.B. Finanzmarktgesetzgebung)

Thematik Berufsgeheimnis (Art. 321 StGB) sowie Bankkundengeheimnis (Art. 47 BankG)

Ist Dienstleister eine Hilfsperson des Berufsgeheimnisträgers? Umstritten. Falls ja, keine Einwilligung notwendig.

Bankkundengeheimnis: gemäss FINMA keine Einwilligung notwendig (jedoch vorgängige Information) (vgl.

Rundschreiben 2008/7) (umstritten)

Thematik «Blocking Statutes» (insb. Art. 273 StGB)

Fällt Zugänglichmachen von Informationen an einen ausländischen Dienstleister unter Art. 273 StGB?

Auswahl des Anbieters («Due Diligence»)

Retention des betriebsspezifischen Know-hows / Management der Provider-Schnittstelle / Reversibilität

Achtung: spezielle Regelungen für die öffentliche Hand (z.B. im Bereich Datenschutz, Amtsgeheimnis etc.)

Schranken des Outsourcings

9

(10)

22.11.2016

– Präziser Leistungsbeschrieb, Service Levels, Einhaltung von Standards – Klare Zuweisung der Verantwortlichkeiten und Regelung der Haftung – Ausdrückliche Unterstellung unter Berufsgeheimnis und Bezeichnung

als Hilfsperson (sofern anwendbar)

– Datenschutz (inkl. Dateninhaberschaft, Bearbeitungsort, Bearbeitungszwecke etc.)

– Behördenkontakte und Pflichten/Kooperation bei Verletzungsverfahren sowie Data Breaches

– Anpassung an gesetzliche Anforderungen sowie Standards – Kontroll- und Prüfrechte

– Step-in und Beendigungsrechte – Exit Services

Wichtige Regelungspunkte im Outsourcingvertrag

10

(11)

22.11.2016

– Grundsätzlich ähnliche Anforderungen, jedoch

– Datenschutz und Data Location – Kontroll- und Prüfrechte

– Exit Services

besonders wichtig

Security Services über die Cloud

11

(12)

22.11.2016

– Informationssicherheit ist Chefsache

– Je nach Konstellation ist der Beizug eines Dienstleisters erforderlich (Stichworte: Sorgfaltspflicht,

Übernahmeverschulden, Organisationsverschulden) – Verpflichtet bleibt weiterhin der Kunde (er kann dann

jedoch allenfalls seine Haftung limitieren/ausschliessen, sich exkulpieren und/oder im Schadenfall Regress auf den Dienstleister nehmen)

– Gesetzliche (z.B. Datenschutz) und vertragliche Schranken beachten

– Saubere und präzise Vertragsgestaltung ist notwendig

Fünf «Take Aways»

12

(13)

Danke für Ihre Aufmerksamkeit

(14)

22.11.2016

Walder Wyss AG

Dr. iur. Jürg Schneider, Partner Seefeldstrasse 123

Postfach 1236 CH-8034 Zürich

Tel. +41 58 658 55 71

juerg.schneider@walderwyss.com www.walderwyss.com

Kontakt

14

Referenzen

Jetzt herunterladen ( PDF - 14 Seite - 171.67 KB )

ÄHNLICHE DOKUMENTE

Service oriented security architecture

The remainder of this paper is structured as follows: Section 2 describes the main security issues that must be addressed in the context of Web services (references to the

LIFESTATION – Space as a Service (SpaaS)

Wie kann man in einer Stadt wie Graz eine Living Street auf einer von Autos vielbefah- renen Straße etablieren. Welchen Mehrwert kann eine Living Street bieten, um auf das Auto

Service KUNDEN

Gefahren für Kinder und Personen mit verringerten physischen, sensorischen oder mentalen Fähigkeiten (beispielsweise teilweise Behinderte, ältere Perso- nen mit

Die Haftung des Dienstleisters (Fulfilment-Dienstleister)

• § 25 Produktsicherheitsgesetz: „Ein/e In-Verkehr-Bringer/in, der/die gefährliche Produkte in Verkehr bringt, deren Gefährdungspotential zum Zeitpunkt des In-Verkehr-Bringens

Mobility as a Service umfassend modelliert.

Ride basiert auf der dynamischen Simulation aller Arten von bedarfsgesteuerten oder flexiblen Mobilitätsdiensten, damit Sie sehen können, wie sich Staus auf Ihren Dienst

Service Level Agreement (Leistungsbeschreibung) KBC M365 Backup as a Service

Verbrauchseinheiten, welche zum Zählungszeitpunkt (Zeitraum oder Stichtag) nicht für den Auftraggeber zur Anwendung gekommen sind, können nicht für andere Leistungen

ALLGEMEINE GESCHÄFTSBEDINGUNGEN SOFTWARE AS A SERVICE

c.) der Öffentlichkeit nach dem Empfangsdatum bekannt oder allgemein zugänglich wurden, ohne dass die informationsempfangende Partei hierfür verantwortlich ist.

Software as a Service

Mehrwert durch sinnvoll geplante Cloud services für die Umweltverwaltung und die